Google Consent Mode v2 richtig einrichten - ohne DSGVO-Falle

Google Consent Mode v2 ist ein Signalmechanismus, der Google-Tags (Analytics, Ads) anweist, ihr Verhalten an den Einwilligungsstatus der Besucher anzupassen. Er ist DSGVO-konform, sobald Tags vor einer Einwilligung tatsächlich keine personenbezogenen Daten setzen - er ersetzt aber niemals einen vorgeschalteten Consent-Banner. Wer Consent Mode aktiviert, aber trotzdem vor dem Klick Cookies setzt, verstößt weiterhin gegen § 25 TTDSG.

Was Consent Mode v2 ist - und was nicht

Consent Mode v2 überträgt zwei Einwilligungssignale an Google: analytics_storage und ad_storage (sowie ad_user_data und ad_personalization). Stehen diese auf denied, sammelt Google im sogenannten Basic-Modus gar keine Daten, im Advanced-Modus nur anonyme, cookielose Pings.

Der entscheidende Punkt für die Rechtskonformität: Consent Mode ist kein Ersatz für die rechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG. Die Einwilligung selbst holt Ihre Consent-Management-Plattform (CMP) ein. Consent Mode sorgt nur dafür, dass Google-Tags diese Entscheidung respektieren.

Seit März 2024 verlangt Google für Werbetreibende im EWR die Version v2 mit den zusätzlichen Parametern ad_user_data und ad_personalization. Ohne diese Signale schränkt Google die Funktionen von Remarketing und Conversion-Messung ein. Das ist jedoch eine Produktvorgabe von Google - die rechtliche Pflicht zur Einwilligung ergibt sich unabhängig davon aus dem deutschen und europäischen Datenschutzrecht.

Schritt für Schritt einrichten

1. Default-Status auf denied setzen. Noch bevor der Google-Tag-Manager-Container oder gtag.js geladen wird, muss der Standard auf Ablehnung stehen:

gtag('consent', 'default', {
  ad_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
  analytics_storage: 'denied',
  wait_for_update: 500
});

2. CMP vorschalten. Der Banner muss laden, bevor irgendein Tracking-Tag feuert. Erst nach aktiver Zustimmung sendet die CMP ein update-Signal mit granted.
3. Region eingrenzen. Über den Parameter region lässt sich der strenge Default gezielt für die EU/EWR setzen.
4. Reihenfolge prüfen. In Google Tag Manager muss das Consent-Default-Tag mit höchster Priorität und auf dem Trigger „Consent Initialization" laufen.

Die häufigste DSGVO-Falle

Der typische Fehler: Consent Mode wird im Advanced-Modus aktiviert, dabei aber wait_for_update vergessen oder der Default versehentlich auf granted belassen. Dann feuern Tags, bevor die CMP überhaupt antwortet - und es werden Daten an Google übertragen, ohne Einwilligung.

Auch der Advanced-Modus selbst ist nicht unproblematisch: Er sendet cookielose Pings auch bei Ablehnung. Die deutschen Aufsichtsbehörden sehen solche Pings kritisch, da sie eine IP-Adresse (also ein personenbezogenes Datum) übertragen. Im Zweifel ist der Basic-Modus die rechtssicherere Wahl, weil dort bei denied überhaupt keine Anfrage an Google erfolgt.

Hinzu kommt die Datenübermittlung in die USA. Seit dem EuGH-Urteil Schrems II (C-311/18) und trotz des EU-US Data Privacy Framework müssen Sie den US-Drittlandtransfer in Ihrer Datenschutzerklärung sauber benennen und auf eine gültige Rechtsgrundlage stützen.

Verifizieren, dass nichts vorab lädt

Vertrauen Sie nicht blind auf die Konfiguration. Prüfen Sie im Browser unter „Netzwerk", ob vor dem Klick auf „Akzeptieren" bereits Anfragen an google-analytics.com, googletagmanager.com oder doubleclick.net ausgehen. Setzt eines dieser Skripte ein Cookie, ist die Einrichtung fehlerhaft.

Genau diese Vorab-Tracker findet ein automatisierter Scan zuverlässiger als das manuelle Auge. Starten Sie hier einen kostenlosen Scan Ihrer Website - Sorrel meldet, welche Google-Dienste vor der Einwilligung laden und ob Consent Mode korrekt greift. Welche Regeln dabei geprüft werden, sehen Sie auf der Seite Funktionen.

Checkliste vor dem Go-live

• Default-Consent steht auf denied für alle vier Parameter.
• CMP lädt vor allen Marketing- und Statistik-Tags.
• wait_for_update ist gesetzt (empfohlen: 500 ms).
• Datenschutzerklärung benennt Google-Dienste und US-Transfer.
• Ein Ablehnen-Button ist gleichwertig zum Akzeptieren-Button (siehe unsere Consent-Banner-Checkliste).
• Vor dem Klick laden nachweislich keine nicht-essentiellen Skripte.

Häufige Fragen

Ersetzt Consent Mode v2 den Cookie-Banner?

Nein. Consent Mode steuert nur das Verhalten von Google-Tags abhängig vom Signal, das Ihre CMP liefert. Die Einwilligung selbst muss weiterhin über einen Consent-Banner nach § 25 TTDSG und Art. 6 DSGVO eingeholt werden. Der BGH hat in Planet49 (I ZR 7/16) klargestellt, dass eine aktive, informierte Einwilligung nötig ist - vorausgewählte Optionen genügen nicht.

Basic oder Advanced Mode - was ist DSGVO-sicherer?

Der Basic-Modus, weil bei Ablehnung keinerlei Anfrage an Google ausgeht. Der Advanced-Modus sendet auch bei denied anonyme Pings inklusive IP-Adresse, was deutsche Aufsichtsbehörden kritisch bewerten. Wer auf Nummer sicher gehen will, wählt Basic.

Brauche ich für Google Analytics zusätzlich eine Rechtsgrundlage?

Ja. Analytics ist kein technisch notwendiges Cookie und benötigt eine Einwilligung. Mehr dazu in unserem Beitrag Google Analytics ohne Einwilligung. Für eine vollständige Prüfung Ihrer Seite lohnt sich der Blick auf unsere Tarife mit automatisierten Audits.